4.1. Если возникает сомнение в неизвестности посторонним лицам пароля доступа Абонента ЗСПД Главного управления (этот пароль совпадает с паролем доступа к ключевой информации Абонента ЗСПД Главного управления), но доступ этих посторонних лиц к персональному компьютеру был невозможен, Абоненту ЗСПД Главного управления следует сменить пароль и продолжить работу. Если доступ к компьютеру посторонних лиц был возможен, то ключи Абонента ЗСПД Главного управления считаются скомпрометированными.
К событиям компрометации, когда ключевая информация Абонента ЗСПД Главного управления считается скомпрометированной, также относятся следующие случаи:
- изменение наименования Абонента ЗСПД Главного управления;
- изменение организационно - правовой формы Абонента ЗСПД Главного управления;
- ликвидация Абонента ЗСПД Главного управления;
- посторонним лицам мог стать доступным файл ключевого дистрибутива Абонента ЗСПД Главного управления;
- посторонним лицам мог стать доступным съемный носитель с ключевой информацией Абонента ЗСПД Главного управления;
- посторонние лица могли получить неконтролируемый физический доступ к ключевой информации, хранящейся на АРМ Абонента ЗСПД Главного управления;
- на АП Абонента ЗСПД Главного управления отсутствовал (был отключен) модуль защиты и фильтрации трафика, или отключалась фильтрация трафика, и в локальной сети Абонента ЗСПД Главного управления считается возможным присутствие посторонних лиц;
- на АП Абонента ЗСПД Главного управления отсутствовал (был отключен) модуль защиты и фильтрации трафика, или отключалась фильтрация трафика, и на границе локальной сети отсутствовал (был отключен) сертифицированный межсетевой экран, или отключалась фильтрация трафика;
- уволился пользователь СКЗИ Абонента ЗСПД Главного управления (в т.ч. дублёр основного пользователя СКЗИ или его непосредственный начальник) или работник, имевший доступ к паролям и ключам;
- на сейфе с ключевыми документами (резервным набором персональных ключей) нарушена печать;
- случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в т.ч. когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошёл в результате несанкционированных действий третьих лиц).
К событиям, требующим проведения расследования и принятия решения на предмет происшествия компрометации ключевой информации, относится возникновение подозрений в утечке информации при её передаче посредством ЗСПД Главного управления.
В случае увольнения пользователя СКЗИ Абонента ЗСПД Главного управления, зарегистрированного на одном или нескольких АП, считаются скомпрометированной ключевая информация всех пользователей СКЗИ, зарегистрированных на этом (этих) АП.
В случае увольнения работника подразделения автоматизации (информационных технологий, защиты информации) Абонента ЗСПД Главного управления, считаются скомпрометированными ключи всех Абонентов ЗСПД Главного управления.
В случае увольнения Администратора безопасности Главного управления или его дублёра, считается скомпрометированной вся ключевая информация в ЗСПД Главного управления, т.е. ключевая информация всех Абонентов ЗСПД Главного управления.
4.2. В случае наступления любого из событий, связанных с компрометацией ключевой информации, перечисленных в пункте 4.1 настоящего Регламента, Абонент ЗСПД Главного управления в течение 10 минут прекращает связь с другими Абонентами ЗСПД Главного управления и сообщает о факте компрометации (или предполагаемом факте компрометации) Администратору безопасности.
4.3. Администратор безопасности при получении сообщения о компрометации ключевой информации определяет объём скомпрометированной ключевой информации, в том числе факт компрометации резервного набора персональных ключей, исходя из следующих правил:
- в случае признания факта компрометации любого из секретных ключей, записанных на ключевом носителе Абонента ЗСПД Главного управления, признаются непосредственно скомпрометированными все ключи на данном ключевом носителе. Данный Абонент ЗСПД Главного управления признается непосредственно скомпрометированным;
- в случае признания факта непосредственной компрометации любого из ключей у любого из пользователей СКЗИ, находящих в одном типе коллектива, однозначно признаются скомпрометированными все ключи, общие для пользователя СКЗИ данного типа коллектива. Пользователи СКЗИ типа коллектива, не подвергшиеся непосредственной компрометации, признаются косвенно скомпрометированными;
- в случае признания факта компрометации любого из секретных ключей, записанных на жестком диске, признаются скомпрометированными все ключи данного АП.
4.4. Администратор безопасности при получении сообщения о компрометации ключевой информации в течение одного рабочего дня:
- объявляет ключи скомпрометированного АП скомпрометированными и создает справочники связей при компрометациях с необходимой информацией: файлы связей для полной замены индивидуальной ключевой информации скомпрометированных пользователей СКЗИ Абонентов ЗСПД Главного управления и замены ключевой информации АП, где зарегистрированы скомпрометированные пользователи СКЗИ Абонентов ЗСПД Главного управления, файлы связей для частичного обновления ключевой информации для всех АП, с которыми связаны АП, где зарегистрированы скомпрометированные пользователи СКЗИ Абонентов ЗСПД Главного управления, файлы связей для частичного обновления индивидуальной ключевой информации для Абонентов ЗСПД Главного управления с не скомпрометированной ключевой информацией, зарегистрированных в коллективах, где имеются скомпрометированные Абоненты ЗСПД Главного управления;
- оповещает о факте компрометации ключей всех Абонентов, связанных со скомпрометированным Абонентом ЗСПД Главного управления. После получения данного сообщения Абоненты ЗСПД Главного управления не должны использовать скомпрометированную ключевую информацию;
- формирует новую ключевую информацию. Все сформированные файлы с новой ключевой информацией зашифрованы на ключевой информации из резервного набора персональных ключей, поэтому могут передаваться на скомпрометированный АП и скомпрометированному Абоненту ЗСПД Главного управления по любым каналам связи, в том числе и открытым;
- производит рассылку сформированных обновлений ключей на АП ЗСПД Главного управления, в том числе и скомпрометированному Абоненту ЗСПД Главного управления при наличии у него нескомпрометированного резервного набора персональных ключей, выданного ему при получении ключевого дистрибутива.
4.5. Информация, содержащаяся на скомпрометированных ключевых носителях, после проведения служебного расследования должна быть уничтожена с использованием штатных средств СКЗИ с отметкой в журнале учета выдачи ключевых дистрибутивов.
4.6. В случае признания факта компрометации резервного набора персональных ключей скомпрометированного Абонента ЗСПД Главного управления, для него создается новая ключевая информация.